[논문]공통평가기준에 의한 보안정책모델 평가방법

김상호; 임춘성

doi:10.13089/jkiisc.2003.13.5.57

문제 정의

보안속성 . 규칙 등이 세부적으로 명시하고 있는지 평가한다.
본 논문에서는 공통평가방법론의 평가항목"侦3, 列을 정리하고 추가적으로 보안정책모델의 단계적이고 세부적인 평가 방법을 제안한다. 보안정책모델 평가의 목적은 모델이 보안정책의 규칙과 특성을 포함하여 명확하고 일관적으로 서술하고 있으며, 기능명세의 보안기능과 일관적이고 완전하게 서술하고 있는지 여부를 검증하는 것이다.
본 논문에서는 공통평가기준에 의한 일반화되고 세부적인 단계별 보안정책 모델 절차를 이해하기 쉽도록 제시하여 BLP, NCSC-TG-010 등 비밀성, 무결성 등 일부 보안기능을 중심으로 정형적 방법을 일반환경에서 다양한 보안기능을 가지는 제품에 적용할 경우, 적용 범위 및 환경의 한계점을 해결하고 있다. 또한, Dennison의 보안정책모델링 방법互에서 논하고 있는 공통평가기준에 의한 모델 방법과 비교하여 기존 보안모델을 활용하는 방법, 정형명세 관련 사항 등과 관련된 누락 사항을 추가 및 보완하여 개발자가 모델 명세시 적용이 용이하도록 하고 있다.
본 논문에서는 보안정책모델의 개요 및 관련 연구 등을 분석하여 공통평가기준에 의한 보안 정책 모델 절차를 제시하여 평가방법을 제안하였다. 본 논문에서 제안한 보안정책모델 절차 및 평가방법은 공통평가 기준 기반의 고등급(EAL4 이상)을 목표하는 제품개발자 및 고등급(EAL4 이상) 제품 평가실무자에게 활용 가능하다.
정형적[EAL5 이상] 여부를 확인하고, 준정형적 또는 정형적으로 모델된 경우, 비정형적으로 서술되어 있는지 평가한다. 준정형적 또는 정형적으로 명세된 경우에도 다른 개발자 및 평가자의 이해를 돕기 위하여 비정형적으로 명세하여야 하므로 이를 확인하여 평가한다.

제안 방법

관련문서로서 보안목표명세서의 보안환경, 보안목적, 기능요구사항, TOE 요약명서), 보안정책, 조직의 보안정책과 기능명세서가 있다. 보안환경 및 보안목적에서 도출된 보안기능요구사항은 보안감사(FAU), 통신(FCO), 암호지원(FCS), 사용자데이터보호(FDP), 식별 및 인증 (FIA), 프라이버시"), TSF 보호(FPT), 자원활용(FRU), TOE 접근(FTA), 안전한 경로/채널(FTP)로 분류하고보안기능요구사항을 중심으로 조직의 보안정책을 고려하여 보안정책을 작성한다. 이때 보안정책은 보안기능별로 세분화하고 조직의 보안정책과 모순되지않도록 한다.
보안정책 모델 평가관련 기존연구는 거의 없으며 다만, 공통평가방법론에서 공통평가기준의 요구사항을 기초로 평가자가 평가시 알아야 하는 주요 사항을 중심으로 제시하고 있으나, 구체적이지 않아 이를 평가에 직접적으로 활용하는데는 문제가 있다. 본 논문에서는 공통평가방법론의 평가항목"侦3, 列을 정리하고 추가적으로 보안정책모델의 단계적이고 세부적인 평가 방법을 제안한다. 보안정책모델 평가의 목적은 모델이 보안정책의 규칙과 특성을 포함하여 명확하고 일관적으로 서술하고 있으며, 기능명세의 보안기능과 일관적이고 완전하게 서술하고 있는지 여부를 검증하는 것이다.
또한, 식별 및 인증의 경우, 사용자 생성/삭제/변경 규칙, 역할을 포함한 속성, 초기화 및 변경 규칙, 인증 규칙, 패스워드 시도 횟수 등 환경 옵션, 환경 설정 규칙 등을 고려하여 모델되었는지 검증한다. 그리고 감사기록생성 기능인 경우에는 감사대상사건, 감사생성 레코드 속성, 감사대상 환경 설정, 환경 설정 옵션, 감사데이터 접근 규칙 등이 적용되어 모델 되었는지 검증한다. 준정형적 또는 정형적으로 명세한 모델의 경우, 각 방법을 사용한 모델과 비정형방적 서술이 구체적이며 정확한지 분석을 통하여 평가한다.
또한, 보안정책모델에 명시한 주체, 객체, 보안속성, 특성이 기능명세서에 서술한 기능동작 또는외부인터페이스와의 일관성 여부를 평가한다. 기능명세의 기능동작은 사용자 및 관리자설명서에서 구체화되므로 기능명세서 뿐만 아니라 사용자 및 관리자설명서에 서술된 기능 동작과 보안정책모델간 차이점 및 모순점 여부를 분석 및 평가한다. 기능명세와보안정책모델 간 일관성검증은 기능명세에서 정의한보안기 능이 보안목표명세서의 보안정책 , 보안요구사항, TOE 요약명세를 일관적이고 완전하게 명세되었음을 의미하며, 정의하고 명세한 보안기능이 세부설계 과정을 통하여 정확하게 구현될 수 있음을 보증하는 것이다.
연구의 미비점을 알아본다. 또한 정보시스템 보안성 평가기준의 보안정책모델 요구사항을 비교·분석한다.
준정형, 정형방법을 적용할 경우, 보안기능요구사항 및 TOE 요약 명세를 고려하여 보안정책모델가능한 보안정책을 중심으로 모델링 함을 원칙으로한다. 또한, 기능명세에서는 보안정책 모델을 위해보안기능 외부인터페이스와 명세한 기능동작을 분석한다.
또한, 보안정책모델에 명시한 주체, 객체, 보안속성, 특성이 기능명세서에 서술한 기능동작 또는외부인터페이스와의 일관성 여부를 평가한다. 기능명세의 기능동작은 사용자 및 관리자설명서에서 구체화되므로 기능명세서 뿐만 아니라 사용자 및 관리자설명서에 서술된 기능 동작과 보안정책모델간 차이점 및 모순점 여부를 분석 및 평가한다.
예로서, 임의적 접근 통제의 경우, 객체(파일시스템, 프로세스, 메모리 등), 주체(사용자를 대신한 프로세스, 관리자 등), 객체 속성(소유자, 읽기/쓰기/실행, 허용 비트 등), 주체속성 (UID, gid 등), 규칙(초기화를 위한 규칙, 주체와 객체간 보안속성변경을 위한 규칙, chmod, chown, chgrp 등)이 제품(TOE)의 동작과 기능의 특성과 일관적으로 모델되었는지 검증한다. 또한, 식별 및 인증의 경우, 사용자 생성/삭제/변경 규칙, 역할을 포함한 속성, 초기화 및 변경 규칙, 인증 규칙, 패스워드 시도 횟수 등 환경 옵션, 환경 설정 규칙 등을 고려하여 모델되었는지 검증한다. 그리고 감사기록생성 기능인 경우에는 감사대상사건, 감사생성 레코드 속성, 감사대상 환경 설정, 환경 설정 옵션, 감사데이터 접근 규칙 등이 적용되어 모델 되었는지 검증한다.
또한, 이러한 보안모델은 국방 등 주로정보보호수준이 강화된 영역에의 적용에 초점을 두어 개발되어 기업 등 민간분야에 사용을 목적으로하는 정보시스템에 이를 적용할 경우, 사용 또는 구현 환경에 따라 수정 . 보완하여 한다.
준정형화, 정형화방법으로 명세한 경우에는 모델 명세에 참여하지 않은 개발자 또는 평가자의 이해를 돕기위하여 , 비정형적인 서술을 추가적으로 명세한다. 마지막으로 보안정책모델과 기능요구사항 또는 보안정책 및 기능명세서와 일관성과 완전성을 검증하고, 검증에 대한 이론적 근거를 서술한다. [그림 2]는 보안정책모델 절차를 도식화한 것이다.
보안목표명 세서 에 정 의되어 보안정 책으로 서술된모든 보안기능이 보안정책 모델되었는지 확인하여 평가한다. 특히, FDP_ACC(접근통제 정책), FDP_IFC(정보흐름통제) 등 FDP(사용자데이터보호), FIA(식별 및인증), FAU(감사기록) 기능 등을 중심으로 모델되어있음을 확인한다.
보안목표명세서에 정의된 접근통제(FDP), 식별 및 인증(FIA), 보안감사(FAU) 등 보안기능이 평가대상 제품의 동작과 기능의 특성에 따라 모델된 주체, 객처】, 연산자, 규칙 등과 일관적인지 여부를 평가한다. 예로서, 임의적 접근 통제의 경우, 객체(파일시스템, 프로세스, 메모리 등), 주체(사용자를 대신한 프로세스, 관리자 등), 객체 속성(소유자, 읽기/쓰기/실행, 허용 비트 등), 주체속성 (UID, gid 등), 규칙(초기화를 위한 규칙, 주체와 객체간 보안속성변경을 위한 규칙, chmod, chown, chgrp 등)이 제품(TOE)의 동작과 기능의 특성과 일관적으로 모델되었는지 검증한다.
본 논문에서 개발자가 제품 개발 또는 평가 준비를 위하여 보안정책모델을 개발할 경우 활용할 수 있도록 공통평가기준에서 요구하는 보안정책모델 요구사항에 부합하는 일반화된 보안정책모델 절차를 Orange Book(NCSC-TG-010)|10) 등을 참조하여 제시하고, 평가자가 고등급의 제품 평가 시 활용할 수 있도록 공통평가방법론冋 등을 참조하여 세부적인 보안모델 정책 평가방법을 제안한다.
본 논문에서는 보안정책모델 평가절차를 명세방법평가, 보안정책모델의 완전성 평가, 보안정책모델의일관성 평가, 기능명세와의 일관성 및 완전성 평가단계로 다음과 같이 제안한다. 口는 제안한 단계에상응하는 공통평가방법론의 평가항목을 표시한 것이다.
본 장에서는 공통평가기준의 보증요구사항回을 기초로 공통평가방법론(Common Criteria Evaluation Methodology, CEM), |11] Orange BookCNCSC-TG-OlO), 1101 Dennison의 보안정책모델링 방벱끼 등을 참고하여 보안정책을 모델하는 절차를 제시하고 공통평가 방법을 기반으로 보안정책모델의 세부 평가방법을 제안한다.
요약하여 정리한 것이다. 서술한 평가항목에서 제시하는 내용([표 3]의 왼쪽 컬럼) 만으로는적용하는데 어려움이 있으므로 본 논문에서는 평가항목을 보다 명확하고 구체적으로 제시하였으며, 단계별 평가방법을 제안하였다. [표 3]의 오른쪽 컬럼의 굵은 글씨는 본 논문에서 추가적으로 제안한 것이다.
세 번째 단계는, 통제 개체(주체 및 객체), 보안 특성, 연산자 등을 정의하여 보안정책(TSP)을 모델링한다. 준정형화, 정형화방법으로 명세한 경우에는 모델 명세에 참여하지 않은 개발자 또는 평가자의 이해를 돕기위하여 , 비정형적인 서술을 추가적으로 명세한다.
예로서, 임의적 접근 통제의 경우, 객체(파일시스템, 프로세스, 메모리 등), 주체(사용자를 대신한 프로세스, 관리자 등), 객체 속성(소유자, 읽기/쓰기/실행, 허용 비트 등), 주체속성 (UID, gid 등), 규칙(초기화를 위한 규칙, 주체와 객체간 보안속성변경을 위한 규칙, chmod, chown, chgrp 등)이 제품(TOE)의 동작과 기능의 특성과 일관적으로 모델되었는지 검증한다. 또한, 식별 및 인증의 경우, 사용자 생성/삭제/변경 규칙, 역할을 포함한 속성, 초기화 및 변경 규칙, 인증 규칙, 패스워드 시도 횟수 등 환경 옵션, 환경 설정 규칙 등을 고려하여 모델되었는지 검증한다.
이 단계에서 평가자는 보안정책모델과 기능명세에서 서술한 보안기능 및 외부인터페이스와의 관계를분석하고 식별 및 인증, 접근통저】, 감사기록 생성, 보안기능 데이터 변경 기능 등을 중심으로 정의한 보안기능이 보안정책모델에 대응하여 모델되었음을 평가한다. 또한, 보안정책모델에 명시한 주체, 객체, 보안속성, 특성이 기능명세서에 서술한 기능동작 또는외부인터페이스와의 일관성 여부를 평가한다.
단계는 보안목적, 보안기능요구사항 등 보안정책 모델을 위한관련 요구사항을 분석하는 것이다. 접근통제기능, 감사기록기능, 무결성기능 등 보안기능 정의 및 구현에 필요한 정책을 분석한다. 이때 보안기능요구사항은 보안정책 모델 과정을 반복적으로 수행하면서 일관성 등을 고려하여 보완 가능하다.
준정형 . 정형적[EAL5 이상] 여부를 확인하고, 준정형적 또는 정형적으로 모델된 경우, 비정형적으로 서술되어 있는지 평가한다. 준정형적 또는 정형적으로 명세된 경우에도 다른 개발자 및 평가자의 이해를 돕기 위하여 비정형적으로 명세하여야 하므로 이를 확인하여 평가한다.
평가자는 개발자 또는 신청인이 제시한 보안정책 모델을 검토하여 신청 보증등급을 기초하여 비정형 [EAL4], 준정형 . 정형적[EAL5 이상] 여부를 확인하고, 준정형적 또는 정형적으로 모델된 경우, 비정형적으로 서술되어 있는지 평가한다.

성능/효과

공통평가기준은 Waterfall approach, Rapid prototyping 등 특정 개발 방법론을 요구하지 않으므로 본논문에서 제시하는 보안정책모델 절차는 특정 개발방법론과 무관하다.
주체와 객체간 읽기, 쓰기, 접근, 첨부 등의 연산을 보안 특성을 고려하여 정의한다. 넷째, 연산규칙이 보안 특성을 유지함을 각 상태전이함수 등이 보안 특성을 만족함을 증명하고 초기상태가 안전함을 증명한다.
첫째, 통제개체 정의에서는 주체(능동적 개체), 객체 (수동적 개체), 또는 개체 그룹, 개체의 속성 등 통제범위 내의 모든 상태 변화 가능한 개체를 분류하여 정의한다. 둘째, 보안특성 정의에서는 보안특성 또는 속성을 공리로서 정의하며, 항상 전제조건으로서 가정되고 유지되도록 하며, 보안정책을 시행하는 방법, 요구되는 행위를 간결하게 표현한다. 보안특성의 예로서 BLP(Bell and La Padula) 모델의 Simple Security, 知Property, discretionary가 있다.
준정형적 또는 정형적으로 명세한 모델의 경우, 각 방법을 사용한 모델과 비정형방적 서술이 구체적이며 정확한지 분석을 통하여 평가한다. 보안목표명세서의 보안요구사항과 보안정책모델간 상관관계를 제시하였는지 점검 및 분석하고 보안정책 모델의 이론적 근거 점검 등을 통하여 모델된 모든 보안정책이 특성, 보안속성, 규칙을 포함하여 명시되어있음을 검증한다.
보안정 책 모델은 평 가대 상제품(TOE, Target of Evaluation)의 보안정책을 구조적으로 표현하여 보안 기능요구사항 및 기능명세를 정확하게 명세하고 해석할 수 있도록 하여 보안기능요구사항과 기능명세간 보안 결점을 제거할 수 있도록 함으로 제품의 안전성을 보증할 수 있도록 한다」倾 개발자는 보안 정책 모델을 활용하여 보안정책의 일관성을 점검할 수 있고, 보안 기능요구사항과 기능명세간 모순점이 없도록 보증을 제공할 수 있으며, 평가자는 제시한 보안정책모델 평가를 통하여 보안정책과 보안기능요구사항 및 기능명세 간의 일관성 및 완전성을 검증할 수 있다.
제시하여 평가방법을 제안하였다. 본 논문에서 제안한 보안정책모델 절차 및 평가방법은 공통평가 기준 기반의 고등급(EAL4 이상)을 목표하는 제품개발자 및 고등급(EAL4 이상) 제품 평가실무자에게 활용 가능하다.
보안정책 모델은 보안 특성과 일관되게 명세하여 내부간 일관성을 유지하여야 한다. 셋째, 연산 규칙 정의애서는 주체와 객체 간 상태전이함수 등에 관한 규칙을 정의한다. 주체와 객체간 읽기, 쓰기, 접근, 첨부 등의 연산을 보안 특성을 고려하여 정의한다.
즉, 기능명세와 보안정책과의 정확한 대응 관계를 증명함으로써 기능명세에서 보안기능을 일관적이고 완전하게 명세 하였음을 보증 받을 수 있다. 또한, 평가자는 보안정책모델 평가를 통하여 개발자가 보안 기능요구사항 및 보안정책을 정확하게 이해하여 보안 기능을 일관적이고 완전하게 구현하였는지 검증할 수 있다μ叫
특히, FDP_ACC(접근통제 정책), FDP_IFC(정보흐름통제) 등 FDP(사용자데이터보호), FIA(식별 및인증), FAU(감사기록) 기능 등을 중심으로 모델되어있음을 확인한다. 또한, 비정형적으로 명세한 모델의경우, 모든 보안기능이 포함되어야 하며, 준정형적 및정형적으로 명세한 모델의 경우에는 분산구조와 불안전한 상태의 주체 및 개체를 가지는 제품일 경우 보안정책 특성 및 현재의 기술 수준을 고려하여 예외사항을 둘 수 있다.

후속연구

향후, 제안한 보안정책 모델절차 및 평가 방법을 실제 제품에 적용한 사례 연구가 필요하다.

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증

공통평가기준에 의한 보안정책모델 평가방법
An Evaluation Method for Security Policy Model Based on Common Criteria 원문보기

초록
AI-Helper

Abstract ▼ AI-Helper

주제어

AI 본문요약
AI-Helper

문제 정의

제안 방법

성능/효과

후속연구

이 논문을 인용한 문헌

저자의 다른 논문 :

관련 콘텐츠

원문 보기

원문 URL 링크

오픈액세스(OA) 유형

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

연합인증

공통평가기준에 의한 보안정책모델 평가방법 An Evaluation Method for Security Policy Model Based on Common Criteria 원문보기

초록 용어보기논문에서 용어와 풀이말을 자동 추출한 결과로, 시범 서비스 중입니다. AI-Helper

Abstract ▼ AI-Helper

주제어

AI 본문요약 엑셀 다운로드 AI-Helper

문제 정의

제안 방법

성능/효과

후속연구

이 논문을 인용한 문헌

저자의 다른 논문 :

김상호 (2) 임춘성 (49)

관련 콘텐츠

원문 보기

원문 URL 링크

오픈액세스(OA) 유형

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

공통평가기준에 의한 보안정책모델 평가방법
An Evaluation Method for Security Policy Model Based on Common Criteria 원문보기

초록
AI-Helper

AI 본문요약
AI-Helper